http://www.yomiuri.co.jp/net/security/goshinjyutsu/20121026-OYT8T00824.htm

この犯行声明メールや、今まで起きた事件の経緯を見ると、犯人は二つの手口を使っている。

もう一つは「CSRF脆弱性」である。CSRFとは「クロスサイト・リクエスト・フォージェリ（Cross Site Request Forgeries）」の略で、「フォージェリ（Forgery）」は「偽造」という意味。別のサイトにリクエストを送り、偽の書き込みができてしまう問題点、と考えればいい。真犯人はこのCSRF脆弱性を、横浜市の事件で使っていた。

警察の捜査にも問題があった。誤認逮捕された大学生の通信記録には、CSRF脆弱性の可能性がある記録が残っていた。約250文字の殺人予告の書き込みが行われていたのだが、この書き込みにかかった時間はわずか2秒。2秒で書き込むのは難しいと、警察は考えるべきだったが、放置されていたのである。実際には、CSRF脆弱性を使った自動書き込みだからこそ、2秒で書き込めていたのだ。

数年前に、この手法で次々と書き込みが行われたということがあって、相談を受け、警察にも事件化を強く働きかけたことがあったのですが、警察で検討した結果、立件は難しいということになってそれ以上伸びなかった、ということがありました。このように、警察当局は、過去に、CSRFの手法があることは見聞きして知っているわけですから、横浜の事件でも、未知のものではまったくなく、既知の手法として、当然、想定して捜査に臨むべきものであったことは明らかです。
よくわからないのは、わずか2秒で書き込んだことが、当時、「特殊なソフトを使えば可能」とされていたように報道されているのですが、特殊なソフトとは何かの確認とか、それを使った場合に被疑者が実際に書き込みができたのかの検証（犯行再現をきちんとやれば検証できるし、やるべきでしょう）をやった形跡がないことです。犯行の核心部分なのに、なぜやらないのか。また、検察庁がこういった疑問を持って警察に指示してなぜやらせないのか。真相に迫ろうとせず、ただ表面的になぞって右から左に機械的に処理しているからこうなるのだ、と思わざるをえませんね。
今になって、真犯人はどこにいると大騒ぎしても（その捜査は必要なことではありますが）、あまりにも後手に回りすぎているでしょう。